Agenda HR — 16 October 2017

Companiile trebuie să se pregătească pentru a pune în aplicare, din luna mai a anului viitor, noile reguli valabile la nivelul Uniunii Europene privind protecţia datelor personale. Valoarea sancțiunilor financiare crește exponențial odată cu noul cadru de reglementare, putând ajunge chiar și la zeci de milioane de euro.

de G.B.

eu gdprGDPR (General Data Protection Regulation) oferă un nou cadru general complex pentru protecția datelor, cu obligații sporite pentru orice organizație, iar amploarea, complexitatea și impactul operațional sunt fără precedent. Noul regulament se aplică oricărei organizații care gestionează datele cu caracter personal ale cetățenilor Uniunii Europene și înseamnă, practic, o realiniere a proceselor, procedurilor, strategiei, angajaților, departamentului de marketing și departamentului legal. Din nefericire, ca de obicei, orice fel de act normativ sau cadru legislativ adoptat de U.E. găsește România total nepregătită, însă în acest caz impactul va fi semnificativ chiar și pentru țările mai dezvoltate din Uniune.

Unul dintre primii pași în alinierea cu noile reguli pentru organizații va fi să numească un responsabil pentru protecția datelor (DPO – Data Protection Officer), iar IAPP (The International Association of Privacy Professionals) estimează că vor fi necesari mai mult de 75.000 de noi angajați certificați la nivelul U.E. pentru a îndeplini cerințele de conformitate cu GDPR.

Ce înseamnă, mai exact, GDPR?

Parlamentul European a adoptat în 14 aprilie 2016 pachetul legislativ privind protecţia datelor personale, care cuprinde un Regulament General privind Protecţia Datelor, cu aplicabilitate directă la nivelul tuturor statelor membre, precum şi o Directivă privind protecţia datelor personale în cadrul activităţilor desfăşurate de autorităţile de aplicare a legii. Prevederile Regulamentului au intrat în vigoare odată cu publicarea în Jurnalul Oficial al Uniunii Europene, în 27 aprilie 2016, dar vor fi aplicabile după expirarea unui termen de 2 ani, adică începând cu primăvara anului 2018.

Mai precis, regulamentul asigură dreptul persoanelor vizate de a obţine informaţii clare şi cuprinzătoare cu privire la scopul şi modul în care le sunt prelucrate datele personale şi exprimă – într-o manieră mai clară – dreptul de a fi uitat, un drept care – altfel – este destul de controversat. De asemenea, documentul prevede dreptul la portabilitatea datelor, adică posibilitatea persoanei vizate de a-şi transfera în totalitate datele la un alt operator de date, oferindu-i, astfel, un mai bun control asupra modului în care aceste date sunt prelucrate.

În plus, prin noul Regulament protecţia vieţii private a minorilor beneficiază de mai multă atenţie, mai ales în mediul online. Regulile stabilite de noul document sunt aplicabile tuturor operatorilor de date, indiferent de locul unde sunt stabiliţi aceştia, în măsura în care serviciile acestora presupun prelucrarea datelor personale ale cetăţenilor Uniunii Europene.

Două miliarde de arhive de date compromise în ultimul an

Specialiștii în protecția datelor au prezentat, în cadrul unui eveniment organizat de Microsoft România, principalele prevederi care ar urma să se aplice în toate ţările UE din 25 mai 2018, dar și impactul acestora asupra mediului de business din România.

Vassilis Tziokas, Manager strategii pentru soluţii Microsoft în Europa Centrală şi de Est, a punctat câteva dintre provocările pe care le aduce GDPR, dar și principalele oportunități pentru companii. „Conform datelor de care dispunem, până în 25 mai 2018 mai puţin de 50% dintre organizaţii vor fi pregătite pentru GDPR. De asemenea, trebuie să avem prezent că în ultimii doi ani au fost create mai multe date decât în întreagă istorie a rasei umane, dar şi faptul că, în următorii cinci ani, vor exista peste 50 de miliarde de smart device-uri, toate dezvoltate să adune, să analizeze şi să distribuie date. Ca fapt divers, în acest moment mai puţin de 0.5% din datele existente sunt analizate şi folosite, iar în ultimul an au fost compromise nu mai puțin de două miliarde de arhive de date. Pentru mediul business, oportunităţile GDPR ar fi recâştigarea încrederii clienţilor, oferirea de customer experience personalizat, crearea unei platforme de tip Data Passport şi stabilirea unei culturi organizaționale optimizate pentru lumea digitală”, a spus Tzioakas.

Amenzi de până la 4% din cifra de afaceri

La rândul său, Irina Vasiliu, team leader pe noul regulament UE privind protecţia datelor (GDPR) în cadrul Comisiei Europene, a prezentat motivațiile din spatele noului Regulament. ,,Am dorit să realizăm un Regulament care să fie proporţionat şi autorităţile de supraveghere să aibă aceleaşi puteri în toate ţările membre. Prin noul Regulament, autorităţile vor avea puteri uniforme şi posibilitatea de a aplica amenzi care pot ajunge până la 4% din cifra anuală de afaceri. Aplicarea amenzilor va depinde de la caz la caz şi există o proporţionalitate. Se va lua în calcul ce a făcut operatorul înainte, dacă a avut o conduită corectă sau nu.”, a precizat Vasiliu. Oficialul european a mai spus că amenda-procent din cifra de afaceri va fi dată – probabil – doar în cazuri foarte grave sau în situații de recidivă. De asemenea, potrivit oficialului U.E., firmele care operează cu date cu caracter personal şi deţin baze de date cu informaţii vor trebui să ia măsuri sporite de securitate, să aibă responsabili cu prelucrarea datelor, să facă evaluări de impact a riscurilor şi să notifice încălcările de securitate.

Dreptul de a fi uitat și dreptul la portabilitate

Oficialul U.E. a mai precizat că ,,noul regulament e, de fapt, o evoluție, nu o revoluție, principiile-cheie rămân aceleași. Am clarificat temeiurile juridice pe baza cărora putem prelucra datele. Ceea ce am încercat să facem este să creăm un standard. Standardul este o acţiune fără echivoc, care poate fi exprimată fie prin declaraţie scrisă, fie printr-un orice alt act care poate să exprime un consimţământ. În privința drepturilor, am introdus două principii importante: transparență și gratuitate. Mai precis, atunci când ne adresăm unui operator de prelucrare a datelor nu trebuie să plătim pentru asta. De asemenea, avem dreptul să avem acces la toate datele pe care o rețea de socializare le are despre noi, să primim o copie a acestor date și să fim uitați. Dreptul de a fi uitat se aplică în momentul în care datele noastre personale nu mai sunt necesare pentru scopul în care au fost solicitate inițial. Iar dacă ne retragem consimțământul, din nou avem dreptul să solicităm ștergerea datelor.”, a mai spus oficialul U.E. Adevărul e, însă, că dreptul de a fi uitat e unul destul de contoversat și greu de respectat. Deși sună foarte bine în teorie, legea ,,dreptului de a fi uitat” e supusă mai multor criterii de aplicare, iar numărul celor care beneficiază de ștergerea informațiilor personale este, de fapt, extrem de scăzut. Astfel, problemele persistă și ești mereu nevoit să cauți soluții în afara celor oferite de cadrul legal. Decizia de a aplica această lege a fost luată Curtea de Justiție Europeană și permite eliminarea la cerere a ,,datelor cu caracter personal”. Totuși, conform noului Regulament, dreptul de a fi uitat nu se aplică în cazul în care un operator are o obligaţie legală, statutară pentru a păstra şi prelucra anumite date personale. Un drept cu adevărat nou este, însă, dreptul la portabilitate. Mai precis, cetățenii U.E. au dreptul să ceară datele și să le transmită altui operator pentru a le prelucra. Această idee a fost împrumutată din domeniul telecom, potrivit oficialului U.E.

220.000 de euro, valoarea amenzilor aplicate în România anul trecut

În cadrul evenimentului Microsoft a fost prezentată și o situație a amenzilor aplicate în prezent pentru încălcarea legislaţiei protecţiei datelor în România, Belgia şi Marea Britanie. Astfel, autoritatea responsabilă de protecţia datelor din U.K. are, începând din 2010, puterea de a impune amenzi de până la 400.000 de euro, iar cea mai mare amendă aplicată în 2016 a fost de 300.000 de euro. Această autoritate are 460 de angajaţi şi un buget anual de 5 milioane euro. În Belgia, autoritatea de supraveghere, care are doar 16 angajaţi, a aplicat o amendă-record, de peste 100.000 de euro. În România, autoritatea de protecţie a datelor, care are 50 de angajaţi, a aplicat anul trecut 193 de amenzi în valoare totală de 220.000 de euro.

Top 10 obligații cu cel mai mare impact operațional, potrivit specialiștilor prezenți la conferința Microsoft dedicată GDPR:

1. Obligația de notificare privind orice breșă în structura securității informatice și a accesului la datele cu caracter personal;
2. Obligația de a numi un responsabil pentru protecția datelor (DPO – Data Protection Officer);
3. Obligația de a avea consimțământul subiectului înainte de a prelucra datele sale cu caracter personal și, evident, trasabilitatea și dovada acordului prealabil;
4. Limitarea transferului de date cu caracter personal în alte țări care nu intră sub incidența GDPR, o prevedere care poate fi un subiect de sine stătător, cu multe implicații juridice;
5. Realizarea de profiluri ale consumatorilor va fi mult mai dificilă, deoarece persoanele vizate de către departamentele de marketing vor avea dreptul să aleagă dacă vor sau nu să-și pună la dispoziție datele personale.
6. Creșterea drepturilor existente ale persoanelor vizate pentru a primi notificări cu privire la activitățile de prelucrare, pentru a avea acces la informațiile care sunt procesate și pentru a-i rectifica pe administratori cu privire la inexactități. Dreptul persoanei vizate de a se opune prelucrării este mai amplu decât în temeiul directivei. Mai mult decât atât, îi permite să se opună prelucrării în orice moment, cu excepția cazului în care operatorul are motive legitime convingătoare. Cel mai important este dreptul la ștergere a acestor informații.
7. Controlul procesării datelor cu caracter personal se schimbă. Astfel, obligațiile detaliate ale regulamentului pentru contractele realizate cu entități de procesare de date și controller îi pot obliga pe unii operatori de date să-și reevalueze acordurile de furnizori pentru a-și atinge respectarea normativelor. Procesatorii de date (o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului) au sarcini suplimentare în cadrul GDPR și, de asemenea, se confruntă cu răspunderea sporită pentru nerespectarea sau pentru acționarea în afara autorității acordate de un controller (agenție sau alt organism care – singură sau împreună cu alții – stabiliește mijloacele de prelucrare a datelor cu caracter personal). Cu toate acestea, sarcina pentru protecția datelor cu caracter personal în cadrul GDPR rămâne în continuare – în primul rând – a controller-ilor. Aici deja au apărut și vor apărea noi organizații specializate, noi certificări, transformarea fiind totală și impactul fiind general valabil.
8. „Pseudoanonimizarea” este un proces prin care datele nu sunt nici anonime, nici direct identificate. „Pseudoanonimizarea” reprezintă separarea datelor de identificatorii direcți, astfel încât legătura cu o identitate nu este posibilă fără informații suplimentare care sunt ținute separat. Prin urmare, „pseudoanonimizarea” poate reduce semnificativ riscurile asociate procesării datelor, menținând totodată utilitatea datelor. Din acest motiv, GDPR creează stimulente pentru controllerii organizațiilor de a „pseudoanonimiza” datele pe care le colectează.
9. Codurile de conduită și certificările specifice care pot oferi mijloace eficiente pentru a demonstra conformitatea, însă aici, la fel ca și în celelalte cazuri, discutăm despre o întreagă „biblie” care va trebui transpusă în practică. Vor apărea organizații noi de certificare și consultanță, de unde putem deduce că multe lucruri se vor schimba în U.E. datorită acestor noi certificări și coduri de conduită în privința operării de date cu caracter personal.
10. Consecințe pentru violarea GDPR: proceduri administrative complexe și amenzi mari. Mai mult decât orice drept de fond nou sau procedură complexă, noua măsură GDPR care va atrage atenția C-Level-ului din orice organizație este dispoziția privind sancțiunile și amenzile. Într-o abatere strictă față de legislația anterioară privind confidențialitatea în Europa sau în altă parte, GDPR permite și încurajează autoritățile de reglementare să perceapă amenzi remarcabil de mari. Reamintim că aceste amenzi pot să depășească 20 de milioane de euro sau 4% din cifra de afaceri globală anuală.

Comentarii

Share

About Author

Revista HR Manager

(0) Readers Comments

Leave a Reply